2019年2月,百度安全智云盾捕获了一起利用ONVIF协议进行的反射放大攻击事件。不同于以往的泛洪攻击,此次攻击借助了在物联网设备中被大量使用的UDP协议。这类攻击不会直接攻击受害者IP,而是通过以受害者的IP构造UDP数据包,对反射源发送伪造的数据包。由此,反射源向受害者IP响应的流量远超过攻击者伪造UDP流量的数据,不法分子借此对受害者实施DDoS攻击。单就此次攻击事件而言,其覆盖范围遍及全球60个国家和地区,攻击放大倍数预计在5-14倍区间。
显而易见,百度安全智云盾在去年年初的这次“捕获行动”已经证明了WS-DISCOVERY所存在的接口缺陷。其以网络视频规范定义的服务探测接口为反射源,在不入侵设备构建庞大僵尸网络的前提下,利用物联网设备发起反射攻击,且制造了较大攻击放大倍数。
关于此次基于ONVIF协议的DDoS反射攻击事件的详细解析,可参见此文。
百度安全实验室:基于ONVIF协议的物联网设备参与DDoS反射攻击
CoAP是一种应用在物联网网络的应用层协议,其在继承HTTP协议可靠传输、数据重传、块重传、IP多播等特点的同时,利用二进制格式使请求更加轻量化,从而在对系统资源限制较多的物联网设备中被广泛应用。
2019年4月,一起利用CoAP协议进行的反射放大攻击事件为百度安全智云盾所捕获。其原理与利用ONVIF协议漏洞进行的攻击类似,但影响波及到了更广泛的物联网设备——在被重点监测的两轮攻击行为中,全球有多达72万台主机被发现暴露了相关端口,而这些设备均有可能被不法分子用于反射源攻击。
关于此次基于CoAP协议的DDoS反射攻击事件的详细解析,可参见此文。
百度安全实验室:基于CoAP协议的物联网设备参与DDoS反射攻击
netAssistant服务是一种网络调试助手服务,默认支持TCP与UDP两种协议。而借此发起的DDoS攻击是百度安全智云盾在2020年2月在全网范围内首次监测发现,这也是FBI所警告的ARMS的同类型服务,两者均使用3283端口。
此漏洞的来源在于其自身服务的设计缺陷,在使用UDP传输协议的情况下,客户端向netAssistant服务端口(即3283端口)发送一个UDP最小包,netAssistant服务便会返回携带有主机标识的超大包,请求与响应相差数十倍。由于其并未严格限制请求与响应比关系,导致暴露在公网中开启netAssistant服务的网络设备均有可能被当作反射源使用。
在百度安全智云盾所捕获的上述攻击事件中,反射源分布在全球74个国家和地区,其中59%的反射源分布在美国,而这些设备大部分都开启了netAssistant服务。
关于此次基于netAssistant服务的DDoS反射攻击事件的详细解析,可参见此文。
百度安全实验室:全网首次发现基于netAssistant服务的DDoS反射攻击
随着5G网络的快速商用和AI、物联网等新兴技术的发展,网络安全的挑战也在不断升级。作为一种延续多年的“经典”攻击方法,DDoS攻击不仅仍然是当前网络安全的最大威胁之一,其破坏力和影响范围也在持续扩大——根据今年3月百度安全联合中国联通智慧安全发布的《2019年DDoS攻击态势分析报告》显示,在过去的一年中,我国遭受的DDoS大流量攻击数量仍在持续攀升,且呈现出超大型攻击占比增加的态势,网络安全形式依旧严峻。
而针对此次FBI预警的关于WS-DD(ONVIF协议)、CoAP及ARMS(netAssistant服务)三种全新DDoS攻击方式所带来的安全风险,不仅需要相关机构能够合理管控UDP服务使用权限和策略,启用授权验证;面向物联网设备,还需要根据实际需要分配公网IP,并为公网访问添加防火墙规则,限制访问IP,减少互联网暴露。当然最重要的,还是应及时接入DDoS云防安全服务提升系统化的综合防御能力。
秉承“有AI,更安全”的理念,依托20年最佳实践的总结与提炼,百度安全智云盾以成熟的防御技术和灵活的合作模式,长期以来为合作伙伴提供了IDC环境下完备、便捷的安全基础设施解决方案。
一方面,面对近年来DDoS攻击的新趋势和新手段,智云盾不仅支持精确清洗、分钟级缓解、自动化应急处理等功能,也与多家运营商建立起了联合防御战线。另一方面,集合百度安全包括本地快速检测、自动化拓展T级云防、资产弱点评估、黑客攻击检测、实时安全防御和威胁情报在内的一系列技术能力,使得智云盾在进一步提高IDC安全水平的同时,也能为最终客户提供更为全面的安全增值产品。
网络安全的攻防从来都是场持久战,面对DDoS攻击方式的不断升级,百度安全也将与产业各界一道,为国内IDC发展保驾护航。
